Доброго всем дня!
Помогите пожалуйста разобраться с проблемой описанной уже сдесь
[url]http://virusinfo.info/showthread.php?t=21518[/url]
+ куча перехватчиков
логи прилагаю
Доброго всем дня!
Помогите пожалуйста разобраться с проблемой описанной уже сдесь
[url]http://virusinfo.info/showthread.php?t=21518[/url]
+ куча перехватчиков
логи прилагаю
virusinfo_cure.zip нельзя прикреплять к теме,где virusinfo_syscure.zip ? прочитайте правила ещё раз.
Пофиксить
[QUOTE]O4 - HKCU\..\Run: [kava] C:\WINDOWS\system32\kavo.exe
O4 - HKCU\..\Run: [tava] C:\WINDOWS\system32\tavo.exe[/QUOTE]
Выплонить скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\kavo.exe','');
QuarantineFile('C:\WINDOWS\system32\tavo.exe','');
QuarantineFile('K:\30ed3.exe','');
QuarantineFile('K:\autorun.inf','');
QuarantineFile('C:\30ed3.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\tavo0.dll','');
QuarantineFile('C:\WINDOWS\system32\kavo1.dll','');
DeleteFile('C:\WINDOWS\system32\kavo1.dll');
DeleteFile('C:\WINDOWS\system32\tavo0.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\30ed3.exe');
DeleteFile('K:\autorun.inf');
DeleteFile('K:\30ed3.exe');
DeleteFile('C:\WINDOWS\system32\tavo.exe');
DeleteFile('C:\WINDOWS\system32\kavo.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.
[/CODE]
После перезагрузки закачать по правилам карантин и повторить логи.
что такое диск К ? Если это какой-то съёмный диск ( флешка и тд) то подключить его к компьютеру перед исполнением скрипта.
уважаемый drongo, извините пожалуйста, сильно торопился и перепутал архивы.
впредь этого не повторится
Rene-gad спасибо
Ловлю на слове :)
Так что там с К- это кто?
[quote=drongo;215897]Ловлю на слове :)
Так что там с К- это кто?[/quote]
К- это физический локальный диск с установленной ОС
[QUOTE=shuttle;215894] Rene-gad спасибо[/QUOTE]Пожалуйста :) Скрипт прогнали? Где карантин? Где новые логи?
скрипт прогнал, скрытые файлы появились, перехватчики остались пока.
логи позже, еще сканю
тут такая трабла, я сдури удалил карантин перед вторым сканированием (после отработки скрипта):(
логи есть
Пришлите по правилам C:\WINDOWS\system32\winlogon.exe
[quote=Bratez;215956]Пришлите по правилам C:\WINDOWS\system32\winlogon.exe[/quote]
Объясните ламеру, как это осуществить по правилам:(
извините если я делаю что-то не так, я первый день на этом форуме
[QUOTE=shuttle;215962]Объясните ламеру, как это осуществить по правилам:([/QUOTE]
для начала правила [url]http://virusinfo.info/showthread.php?t=1235[/url] - там все написано , как , что и куда ... но нужно сделать усилие и дочитать ... ( файлик из сообщения нужно убрать ) ...
@shuttle
Два нарушения уже есть :)
За третье будем выгонять с поля.
к стати приатаченный файл чистый ....
V_Bond
PavelA
будьте снисходительны к новичку, как известно: первый блин всегда (дальше думаю знаете)
Господа хелперы, что по моему вопросу?
неверный пост удалил уже.
C:\TORRENT.KG\Eset Nod32 3.0.566\ESET_NOD32_Antivirus_v3[1].0.566_RUS.rar - просто удалите - злодей в архиве ..
больше зловредного ничего нет ...
у вас криптопро был установлен ?
[quote=V_Bond;215980]C:\TORRENT.KG\Eset Nod32 3.0.566\ESET_NOD32_Antivirus_v3[1].0.566_RUS.rar - просто удалите - злодей в архиве ..
больше зловредного ничего нет ...
у вас криптопро был установлен ?[/quote]
"криптопро" не знаком с таким термином:(
если не трудно объясните.
злодея удавил уже ручками:>
а вот десяток перехватчиков остались:(
как быть?
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 867661F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 85D541F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 85D541F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 85D541F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 85D541F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 85D541F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 85D541F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 85D541F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 85D541F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 85D541F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 85D541F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 85D541F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 85D541F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 85D541F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 85D541F8 -> перехватчик не определен
вот такие моменты к примеру
перехваты у вас не вредные ... от Daemon tools удалите и они исчезнут ...
если криптопро вам ни о чем не говорит .... странно [URL="http://www.cryptopro.ru/cryptopro/products/winlogon/default.htm"]это [/URL] кто -то видимо устанавливал ...
V_Bond
спасибо огромное!
Мой комп находиться под управлением домена Windows, возможно отсюда он и появился, еще возможно был в дистрибутиве Зверевской сборки Windows, либо в релиз кандидате SP 3 для Win XP установленном мной недавно
ключевая фраза ...
[QUOTE=shuttle;216000]
Мой комп находиться под управлением домена Windows[/QUOTE]
если я деинсталлирую Daemon tools, перехваты исчезнут?
какой эмулятор безвредный посоветуете взамен Daemon tools?
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
C:\WINDOWS\I386\SVCPACK\dtools.exe - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%) это от Daemon tools?
в составе демона есть адварка .... за все бесплатное нужно платить ;)
На всякий случай пришлите C:\WINDOWS\I386\SVCPACK\dtools.exe нам в архиве с паролем virus по ссылке [url]http://virusinfo.info/upload_virus.php?tid=21552[/url]
AVZ подозревает наличие файлового вируса.
Пункт 2 правил выполняли? Если нет - лучше выполните.
V_Bond
можно № аськи Вашей в личку, на случай неясных вопросов по вирусам?
все быстрее чем ждать мессагу на форуме
[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]
kps
"скачать утилиту от DrWeb - CureIT! " первым делом просканил, потом АВЗ
[QUOTE=shuttle;216012]
можно № аськи Вашей в личку, на случай неясных вопросов по вирусам?
все быстрее чем ждать мессагу на форуме[/QUOTE]А если его на пару-тройку недель в командировку в тайгу ушлют? 8)
kps
пункт 2 выполнил как и указано в правилах в самом начале
Rene-gad
Коллега, спасибо Вам и всем модерам и хелперам этого форума!
Все получилось высший класс!
контрольно просканил еще раз, результат хороший
Сделаю обширную рекламу этому форуму по всей зоне KG.
Что насчет командировки в тайгу, нестрашно уже, такая аказия у меня за несколько лет в первый раз (несправился мой антивирь с возложенной задачей)
Еще раз огромное всем спасибо!
Нам интересно[URL="http://virusinfo.info/showthread.php?t=19883"] Ваше мнение [/URL]о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать [URL="http://security-advisory.virusinfo.info/"]электронную книгу [/URL]"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
[quote=kps;216011]На всякий случай пришлите C:\WINDOWS\I386\SVCPACK\dtools.exe нам в архиве с паролем virus по ссылке [URL]http://virusinfo.info/upload_virus.php?tid=21552[/URL]
AVZ подозревает наличие файлового вируса.
[/quote]
выслал, что скажите?
ничего страшного ...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]